论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 上一页  1, 2, 3  下一页
作者 内容
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-07-18 16:47 
离线
高级用户

注册: 2008-07-16 14:25
最近: 2014-07-15 13:11
拥有: 1,076.70 安全币

奖励: 386 安全币
在线: 2507 点
帖子: 174
elson 写道:
smiling 写道:
qq-tianqi 写道:
在中间件与数据库存在负载均衡,很难把前端操作的ip地址,负载ip地址,操作数据库ip做准确关联起来,这样就导致审计出来的结果不准确或审计不到相关记录。

理论上,应用负载无论部署在应用(中间件)前端还是后端,都增加了审计环节,给准确关联带来困难。从网上搜索得知,有厂商采用“流会话”审计技术(帕拉迪,非广告),能解决这个问题,看了网站介绍没有深入了解该技术,不知道效果如何,有用过的朋友吗?
总之,关于数据库审计问题,想知道大家都是如何解决的?谢谢。(开启数据库自身审计功能除外,性能问题)


看了帕拉迪的产品介绍:
三层应用审计
DbXpert在流技术、深度全解码的基础上,通过SQL语句和变量绑定的完整审计,可以重溯整个业务流程,追踪信息的来龙去脉。

不太了解具体如何,请问有大神使用或者了解过吗?能不能给介绍下。

坛子里有懂DbXpert技术的,请出来说说吧。O(∩_∩)O


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-07-18 20:13 
离线
中级用户

关注按钮

注册: 2010-05-28 16:55
最近: 2017-07-04 14:17
拥有: 829.00 安全币

奖励: 136 安全币
在线: 3309 点
帖子: 80
地址: 北京
目前我们也在做三层架构的监控,不过我们的目标不是审计,而是分析和定位。
科来网络回溯分析系统,有兴趣可以了解下,用于故障定位和责任鉴定,提供数据包分析和溯源取证。
科来 www.colasoft.com.cn


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-07-19 09:04 
离线
高级用户

注册: 2007-12-21 15:09
最近: 2014-08-26 21:00
拥有: 1,099.70 安全币

奖励: 337 安全币
在线: 1658 点
帖子: 163
地址: 南京
呵呵,感觉国内的公司创造新名词的能力非常强,而且名词很泛,但这些东西怎么站住脚呢,感觉没有理论基础,没有证明,就算理论上是可行的,实现起来的难度如何,有没有这方面的专家和时间去完成都是问题。比如编译原理,操作系统原理,估计很多人都知道,做出来试试!!比如数据库缓存你如何解决,就走过一次数据库,后面就不走了,你能说他没有查数据库?


--------本帖迄今已累计获得39安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-07-19 09:39 
离线
新手

注册: 2013-07-13 00:44
最近: 2014-10-11 18:07
拥有: 14.00 安全币

奖励: 0 安全币
在线: 369 点
帖子: 11
凑个热闹,我不是这方面的专家,不好意思,帮不上什么忙了


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-07-19 10:28 
离线
初级用户

注册: 2013-06-19 22:50
最近: 2016-01-19 10:30
拥有: 574.00 安全币

奖励: 76 安全币
在线: 615 点
帖子: 49
zhulinn 写道:
呵呵,感觉国内的公司创造新名词的能力非常强,而且名词很泛,但这些东西怎么站住脚呢,感觉没有理论基础,没有证明,就算理论上是可行的,实现起来的难度如何,有没有这方面的专家和时间去完成都是问题。比如编译原理,操作系统原理,估计很多人都知道,做出来试试!!比如数据库缓存你如何解决,就走过一次数据库,后面就不走了,你能说他没有查数据库?


负载转换IP、查询缓存池等,甚至应用三层审计都是审计方面的难题,环境的复杂、技术的难题、思维的无创新等,都增加了审计的难度。

如果在应用层次抛出日志是不是效果更好些?虽然现在几乎没有这么做的;但可以从应用下手,不过这事是用户或者是应用开发的事情。

从审计厂商的角度来说,路还很漫长呀。

不过虽然没有一个完没的解决办法,至少现在是满地开花了,值得期待!


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-07-23 11:20 
离线
高级用户

注册: 2008-07-16 14:25
最近: 2014-07-15 13:11
拥有: 1,076.70 安全币

奖励: 386 安全币
在线: 2507 点
帖子: 174
elson 写道:
zhulinn 写道:
呵呵,感觉国内的公司创造新名词的能力非常强,而且名词很泛,但这些东西怎么站住脚呢,感觉没有理论基础,没有证明,就算理论上是可行的,实现起来的难度如何,有没有这方面的专家和时间去完成都是问题。比如编译原理,操作系统原理,估计很多人都知道,做出来试试!!比如数据库缓存你如何解决,就走过一次数据库,后面就不走了,你能说他没有查数据库?


负载转换IP、查询缓存池等,甚至应用三层审计都是审计方面的难题,环境的复杂、技术的难题、思维的无创新等,都增加了审计的难度。

如果在应用层次抛出日志是不是效果更好些?虽然现在几乎没有这么做的;但可以从应用下手,不过这事是用户或者是应用开发的事情。

从审计厂商的角度来说,路还很漫长呀。

不过虽然没有一个完没的解决办法,至少现在是满地开花了,值得期待!

是的,在应用上做审计是最好的,这是审计的“最终目标”,以实现“when,who,how,where,what”审计,如记录日期、时间、账号、操作行为等内容,但由于网络环境原因,发起IP地址可能无法准确记录。另外,前面提到的“流技术”,经与厂商了解,也只能做中间件到数据库之间的审计,无法实现“终端--中间件---数据库”准确审计,这该是业界技术难题吧,期待完美实现...


--------本帖迄今已累计获得39安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-07-27 20:48 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,387.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
我想说的楼上都说过了
准确性的确是个问题
如果做不到百分之百,如何做审计?
说你删了数据库,你承认?
果断不承认,因为有误差!
等吧,一年之内有中间件的不好搞
安装插件的除外,客户感觉风险太大


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-08-19 16:32 
离线
初级用户

注册: 2013-06-19 22:50
最近: 2016-01-19 10:30
拥有: 574.00 安全币

奖励: 76 安全币
在线: 615 点
帖子: 49
国内的数据库审计技术暂时就这种状态,没办法的办法;
大多数上审计都是为了满足上级或者相关要求,采购审计的时候也是看上级的推荐或者市场的认可度。
如果真的想把审计做好,不是一个或者几个安全厂家能做到的,就如搞企业信息安全建设一样,需要多个部门配合。
如果应用和数据库不配合完成审计工作,只靠审计数据库,再去关联应用,准确度一定是个大问题。


--------本帖迄今已累计获得44安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-08-20 14:28 
离线
中级用户

注册: 2008-07-25 14:23
最近: 2013-09-10 16:40
拥有: 2,112.90 安全币

奖励: 458 安全币
在线: 1051 点
帖子: 116
地址: 广州
俺非技术科班,仅从风险与控制的角度插一句,100%是不是太绝对了,有意义吗?还是要回到源头去分析脆弱与威胁,降低风险机发生机率与业务影响,基于风险的控制的思路,可能对业主最有意义。


--------本帖迄今已累计获得39安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-08-21 16:32 
离线
高级用户

注册: 2008-07-16 14:25
最近: 2014-07-15 13:11
拥有: 1,076.70 安全币

奖励: 386 安全币
在线: 2507 点
帖子: 174
洛克 写道:
俺非技术科班,仅从风险与控制的角度插一句,100%是不是太绝对了,有意义吗?还是要回到源头去分析脆弱与威胁,降低风险机发生机率与业务影响,基于风险的控制的思路,可能对业主最有意义。

同意楼上观点,这里讲的100%是针对当前审计技术准确度不理想(80%左右)而言的,审计准确度关系到审计的质量,如果不能保证准确度,万一出现安全事件,而恰好找不到相关审计信息,那么审计就没有多大意义了。当然,估计没有哪个厂商站出来说我们的审计产品能做到100%准确,就像没有100%安全一样。


--------本帖迄今已累计获得40安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-08-23 10:22 
离线
初级用户

注册: 2013-06-19 22:50
最近: 2016-01-19 10:30
拥有: 574.00 安全币

奖励: 76 安全币
在线: 615 点
帖子: 49
smiling 写道:
洛克 写道:
俺非技术科班,仅从风险与控制的角度插一句,100%是不是太绝对了,有意义吗?还是要回到源头去分析脆弱与威胁,降低风险机发生机率与业务影响,基于风险的控制的思路,可能对业主最有意义。

同意楼上观点,这里讲的100%是针对当前审计技术准确度不理想(80%左右)而言的,审计准确度关系到审计的质量,如果不能保证准确度,万一出现安全事件,而恰好找不到相关审计信息,那么审计就没有多大意义了。当然,估计没有哪个厂商站出来说我们的审计产品能做到100%准确,就像没有100%安全一样。


审计的旁路部署方式就决定了审计的全面性不能100%审计;而不能全面(100%)审计的条件下审计的结果的准确率可以有上升的空间,从技术角度来看审计结果准确率可以接近100%,如98%;我想各厂家的努力方向:
一是提高审计的全面性(包括吞吐量、瞬发大流量、网络丢包、缓存池等),主要从网络层考虑被审计数据的全面性;
二是提高已审计数据的准确性,审计数据可能是期望被审计数据的100%,也可能是85%等,审计的结果是被审计系统审计输出的审计内容,从技术角度是相对准确的,但因为业务关联、审计技术手段等多方面因素影响,达到100%还是有差距的;

在这样的一个不可能100%的环境下通过审计系统达到审计结果满足100%是不太可能的;
他也只是安全的一部分而已。

望大家指正。


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-08-26 14:01 
离线
中级用户

关注按钮

注册: 2011-10-21 14:52
最近: 2015-10-19 15:21
拥有: 1,165.00 安全币

奖励: 29 安全币
在线: 1122 点
帖子: 127
查询的问题比较小,实在不行用硬件KEY绑账号,将责任转移到硬件KEY保管上,审计关注的还是事后追查责任,比如 删除了不该删除的东西后,进行追查,这个时候不能100%准确就比较麻烦了。

安全厂家跟ADC和中间件合作搞个系统出来多好。


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-08-29 09:46 
离线
初级用户

关注按钮

注册: 2011-11-21 12:54
最近: 2013-09-09 21:05
拥有: 11.00 安全币

奖励: 0 安全币
在线: 240 点
帖子: 25
地址: 博睿勤加密软件 www.bring.com.cn
其几天看到的一款数据库安全审计产品,希望给您提供帮助。http://www.bring.com.cn/product/sjaqztjjfa/35.html


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-10-18 18:38 
离线
新手

注册: 2013-10-18 13:19
最近: 2014-12-27 11:39
拥有: 82.00 安全币

奖励: 0 安全币
在线: 292 点
帖子: 11
smiling 写道:
qq-tianqi 写道:
在中间件与数据库存在负载均衡,很难把前端操作的ip地址,负载ip地址,操作数据库ip做准确关联起来,这样就导致审计出来的结果不准确或审计不到相关记录。

理论上,应用负载无论部署在应用(中间件)前端还是后端,都增加了审计环节,给准确关联带来困难。从网上搜索得知,有厂商采用“流会话”审计技术(帕拉迪,非广告),能解决这个问题,看了网站介绍没有深入了解该技术,不知道效果如何,有用过的朋友吗?
总之,关于数据库审计问题,想知道大家都是如何解决的?谢谢。(开启数据库自身审计功能除外,性能问题)


中间件关联的准确度,主要由数据库审计系统的数据库协议解码能力决定。重点关注3个方面:一,协议解码能力,即,有无充分解码;二、变量绑定,关联信息一般在这里面;三、关联信息在海量日志里面,如何快速定位,即,关联策略和信息定位问题。

各位可以结合帕拉迪宣传资料,对照上述三点关注,得出自己结论。另外,强调一下,数据库协议解码,是一切问题的核心。。。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 目前,国内外数据库安全审计产品,针对B/S类架构应用审计,如何保证审计的准确性?
帖子发表于 : 2013-10-18 18:41 
离线
新手

注册: 2013-10-18 13:19
最近: 2014-12-27 11:39
拥有: 82.00 安全币

奖励: 0 安全币
在线: 292 点
帖子: 11
smiling 写道:
elson 写道:
zhulinn 写道:
呵呵,感觉国内的公司创造新名词的能力非常强,而且名词很泛,但这些东西怎么站住脚呢,感觉没有理论基础,没有证明,就算理论上是可行的,实现起来的难度如何,有没有这方面的专家和时间去完成都是问题。比如编译原理,操作系统原理,估计很多人都知道,做出来试试!!比如数据库缓存你如何解决,就走过一次数据库,后面就不走了,你能说他没有查数据库?


负载转换IP、查询缓存池等,甚至应用三层审计都是审计方面的难题,环境的复杂、技术的难题、思维的无创新等,都增加了审计的难度。

如果在应用层次抛出日志是不是效果更好些?虽然现在几乎没有这么做的;但可以从应用下手,不过这事是用户或者是应用开发的事情。

从审计厂商的角度来说,路还很漫长呀。

不过虽然没有一个完没的解决办法,至少现在是满地开花了,值得期待!

是的,在应用上做审计是最好的,这是审计的“最终目标”,以实现“when,who,how,where,what”审计,如记录日期、时间、账号、操作行为等内容,但由于网络环境原因,发起IP地址可能无法准确记录。另外,前面提到的“流技术”,经与厂商了解,也只能做中间件到数据库之间的审计,无法实现“终端--中间件---数据库”准确审计,这该是业界技术难题吧,期待完美实现...


已经完美实现。。。,还有比这个更爆炸的,敬请期待!:)


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 43 篇帖子 ]  前往页数 上一页  1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012